Durchsetzen von Cloudgovernance-Richtlinien
Dieser Artikel zeigt Ihnen, wie Sie die Einhaltung von Cloudgovernance-Richtlinien durchsetzen können. Die Durchsetzung von Cloudgovernance bezieht sich auf die Kontrollen und Verfahren, die Sie verwenden, um die Cloudnutzung an die Cloudgovernance-Richtlinien auszurichten. Das Cloudgovernanceteam bewertet die Cloudrisiken und erstellt Cloudgovernance-Richtlinien, um diese Risiken zu steuern. Um die Einhaltung der Cloudgovernance-Richtlinien zu gewährleisten, muss das Cloudgovernanceteam die Verantwortung für die Durchsetzung delegieren. Sie müssen jedem Team oder jeder Einzelperson ermöglichen, Cloudgovernance-Richtlinien innerhalb ihres Verantwortungsbereichs durchzusetzen. Das Cloudgovernanceteam kann nicht alles allein machen. Priorisieren Sie automatisierte Durchsetzungskontrollen, aber setzen Sie die Einhaltung der Vorschriften manuell durch, wenn Sie sie nicht automatisieren können.
Definieren eines Ansatzes für die Durchsetzung von Cloudgovernance-Richtlinien
Richten Sie eine systematische Strategie ein, um die Einhaltung von Cloudgovernance-Richtlinien durchzusetzen. Das Ziel ist es, die Einhaltung der Vorschriften mit Hilfe automatisierter Tools und manueller Überwachung effizient durchzusetzen. Zur Festlegung eines Durchsetzungskonzepts sollten Sie diese Empfehlungen befolgen:
Delegieren Sie die Governanceverantwortlichkeiten. Befähigen Sie Einzelpersonen und Teams zur Durchsetzung der Governance in ihrem Verantwortungsbereich. So sollten Plattformteams beispielsweise Richtlinien anwenden, die die Workloads erben, und Workloadteams sollten die Governance für ihre Workloads durchsetzen. Das Cloudgovernanceteam sollte nicht für die Anwendung von Durchsetzungskontrollen verantwortlich sein.
Führen Sie ein Vererbungsmodell ein. Wenden Sie ein hierarchisches Governancemodell an, bei dem bestimmte Workloads Governancerichtlinien von der Plattform erben. Dieses Modell trägt dazu bei, sicherzustellen, dass organisatorische Standards für die richtigen Umgebungen gelten, z. B. Einkaufsanforderungen für Clouddienste. Befolgen Sie die Entwurfsprinzipien von Azure-Zielzonen und des Entwurfsbereichs der Ressourcenorganisation, um ein geeignetes Vererbungsmodell einzurichten.
Diskutieren Sie die Einzelheiten der Durchsetzung. Diskutieren Sie, wo und wie Sie Governancerichtlinien anwenden. Ziel ist es, kostengünstige Wege zu finden, um Compliance durchzusetzen, die die Produktivität verbessert. Ohne Diskussion riskieren Sie, den Fortschritt bestimmter Teams zu blockieren. Es ist wichtig, ein Gleichgewicht zu finden, das die Geschäftsziele unterstützt und gleichzeitig ein effektives Risikomanagement ermöglicht.
Sie sollten einen „Monitor First“-Ansatz verfolgen und die Überwachung in den Mittelpunkt stellen. Blockieren Sie Aktionen nicht, es sei denn, Sie verstehen, worum es dabei geht. Bei Risiken mit geringerer Priorität sollten Sie zunächst die Einhaltung der Cloudgovernance-Richtlinien überwachen. Nachdem Sie das Risiko verstanden haben, können Sie zu restriktiveren Durchsetzungskontrollen übergehen. Ein „Monitor-First“-Ansatz bietet Ihnen die Möglichkeit, die Governanceanforderungen zu diskutieren und die Cloudgovernance-Richtlinie und die Durchsetzungssteuerung auf diese Anforderungen auszurichten.
Bevorzugen Sie Blocklisten. Bevorzugen Sie Blocklisten gegenüber Positivlisten. Blocklisten verhindern die Bereitstellung bestimmter Dienste. Es ist besser, eine kleine Liste von Diensten zu erstellen, die nicht verwendet werden sollten, als eine lange Liste von Diensten, die verwendet werden können. Um lange Blocklisten zu vermeiden, sollten Sie neue Dienste nicht standardmäßig in die Blockliste aufnehmen.
Definieren Sie eine Tagging- und Benennungsstrategie. Erstellen Sie systematische Richtlinien für die Benennung und Kennzeichnung von Cloudressourcen. Sie bieten ein strukturiertes Framework für Ressourcenkategorisierung, Kostenverwaltung, Sicherheit und Compliance in der gesamten Cloudumgebung. Erlauben Sie Teams, z. B. Entwicklungsteams, weitere Tags für ihre individuellen Anforderungen hinzuzufügen.
Automatisches Durchsetzen von Cloudgovernance-Richtlinien
Verwenden Sie Cloudverwaltungs- und Governancetools, um die Einhaltung von Governancerichtlinien zu automatisieren. Diese Tools können bei der Einrichtung von Schutzmaßnahmen, der Überwachung von Konfigurationen und der Sicherstellung der Konformität helfen. Befolgen Sie die nachstehenden Empfehlungen, um die automatisierte Durchsetzung einzurichten:
Beginnen Sie mit einer kleinen Anzahl automatisierter Richtlinien. Automatisieren Sie die Compliance für eine kleine Reihe wichtiger Cloudgovernance-Richtlinien. Implementieren und testen Sie die Automatisierung, um Betriebsunterbrechungen zu vermeiden. Erweitern Sie Ihre Liste der automatisierten Durchsetzungskontrollen, wenn Sie bereit sind.
Verwenden Sie Tools für die Cloudgovernance. Verwenden Sie die in Ihrer Cloudumgebung verfügbaren Tools, um Compliance durchzusetzen. Das primäre Governancetool von Azure ist Azure Policy. Ergänzen Sie Azure Policy mit Microsoft Defender for Cloud (Sicherheit), Microsoft Purview (Daten), Microsoft Entra ID Governance (Identität), Azure Monitor (Betrieb), Verwaltungsgruppen (Ressourcenmanagement), Infrastructure as Code (IaC) (Ressourcenmanagement) und Konfigurationen innerhalb der einzelnen Azure-Dienste.
Wenden Sie Governancerichtlinien auf den richtigen Bereich an. Verwenden Sie ein Vererbungssystem, bei dem die Richtlinien auf einer höheren Ebene festgelegt werden, z. B. in Verwaltungsgruppen. Richtlinien höherer Ebenen gelten automatisch für niedrigere Ebenen, z. B. Abonnements und Ressourcengruppen. Richtlinien gelten auch bei Änderungen in der Cloudumgebung, was den Verwaltungsaufwand verringert.
Richten Sie Richtlinienerzwingungspunkte ein. Richten Sie Richtlinienerzwingungspunkte in Ihren Cloudumgebungen ein, die Governanceregeln automatisch anwenden. Erwägen Sie Prüfungen vor der Bereitstellung, Laufzeitüberwachung und automatische Wartungsmaßnahmen.
Verwenden Sie die Policy-as-Code. Verwenden Sie IaC-Tools, um Governancerichtlinien über Code durchzusetzen. Policy-as-Code verbessert die Automatisierung von Governancekontrollen und gewährleistet Konsistenz in verschiedenen Umgebungen. Erwägen Sie die Verwendung der Enterprise Azure-Richtlinie als Code (EPAC), um Richtlinien zu verwalten, die mit den empfohlenen Azure-Zielzonenrichtlinien übereinstimmen.
Entwickeln Sie bei Bedarf benutzerdefinierte Lösungen. Für benutzerdefinierte Governanceaktionen sollten Sie die Entwicklung benutzerdefinierter Skripte oder Anwendungen in Betracht ziehen. Verwenden Sie Azure-Dienst-APIs, um Daten zu sammeln oder Ressourcen direkt zu verwalten.
Azure-Erleichterung: Automatisches Durchsetzen von Cloudgovernance-Richtlinien
Die folgende Anleitung hilft Ihnen, die richtigen Tools zu finden, um die Einhaltung der Cloudgovernance-Richtlinien in Azure zu automatisieren. Sie bietet einen beispielhaften Ausgangspunkt für wichtige Kategorien von Cloudgovernance.
Automatisieren Sie gesetzliche Compliance-Governance
Wenden Sie gesetzliche Compliancerichtlinien an. Verwenden Sie integrierte Compliancerichtlinien, die mit Compliancestandards wie HITRUST/HIPAA, ISO 27001, CMMC, FedRamp und PCI DSSv4 konform sind.
Automatisieren Sie benutzerdefinierte Einschränkungen. Erstellen Sie benutzerdefinierte Richtlinien, um Ihre eigenen Regeln für die Arbeit mit Azure zu definieren.
Automatisieren der Sicherheitsgovernance
Wenden Sie Sicherheitsrichtlinien an. Verwenden Sie die integrierten Sicherheitsrichtlinien und automatisierte Sicherheitscompliance, um sich an gemeinsame Sicherheitsstandards anzupassen. Integrierte Richtlinien stehen für die NIST 800 SP-Serie, Center for Internet Security-Benchmarks und den Microsoft Cloud Security-Benchmark zur Verfügung. Verwenden Sie integrierte Richtlinien, um die Sicherheitskonfiguration für bestimmte Azure-Dienste zu automatisieren. Erstellen Sie benutzerdefinierte Richtlinien, um Ihre eigenen Regeln für die Arbeit mit Azure zu definieren.
Wenden Sie Identitätsgovernance an. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) in Microsoft Entra und die Self-Service-Kennwortzurücksetzung. Entfernen Sie unsichere Kennwörter. Automatisieren Sie andere Aspekte der Identitätsgovernance, z. B. Zugriffsanforderungsworkflows, Zugriffsüberprüfungen und Identity Lifecycle Management. Aktivieren Sie den Just-in-Time-Zugriff, um den Zugang zu wichtigen Ressourcen zu begrenzen. Verwenden Sie Richtlinien für bedingten Zugriff, um Benutzer*innen und Geräteidentitäten Zugriff auf Clouddienste zu gewähren oder diesen zu blockieren.
Wenden Sie Zugriffssteuerungen an. Verwenden Sie die rollenbasierte Zugriffskontrolle von Azure (RBAC) und die attributbasierte Zugriffskontrolle (ABAC), um den Zugriff auf bestimmte Ressourcen zu regeln. Erteilen und Verweigern Sie Berechtigungen für Benutzer*innen und Gruppen. Wenden Sie die Berechtigung auf den entsprechenden Bereich (Verwaltungsgruppe, Abonnement, Ressourcengruppe oder Ressource) an, um nur die erforderliche Berechtigung bereitzustellen und den Verwaltungsaufwand zu begrenzen.
Automatisieren der Kostengovernance
Automatisieren Sie Bereitstellungseinschränkungen. Sperren Sie bestimmte Cloudressourcen, um die Nutzung kostenintensiver Ressourcen zu verhindern.
Automatisieren Sie benutzerdefinierte Einschränkungen. Erstellen Sie benutzerdefinierte Richtlinien, um Ihre eigenen Regeln für die Arbeit mit Azure zu definieren.
Automatisieren Sie die Kostenzuteilung. Erzwingen Sie Tagginganforderungen zum Gruppieren und Zuordnen von Kosten für Umgebungen (Entwicklung, Test, Produktion), Abteilungen oder Projekte. Verwenden Sie Tags, um Ressourcen zu identifizieren und nachzuverfolgen, die Teil von Kostenoptimierungsmaßnahmen sind.
Automatisieren der Betriebsgovernance
Automatisieren Sie Redundanz. Verwenden Sie integrierte Azure-Richtlinien, um ein bestimmtes Maß an Infrastrukturredundanz vorzuschreiben, z. B. zonenredundante und georedundante Instanzen.
Wenden Sie Sicherungsrichtlinien an. Verwenden Sie Sicherungsrichtlinien, um die Sicherungshäufigkeit, den Aufbewahrungszeitraum und den Speicherort zu steuern. Richten Sie Sicherungsrichtlinien an Data Governance, Compliancerichtlinien, Recovery Time Objective (RTO) und Recovery Point Objective (RPO) aus. Verwenden Sie die Sicherungseinstellungen in einzelnen Azure-Diensten, z. B. Azure SQL-Datenbank, um die benötigten Einstellungen zu konfigurieren.
Erfüllen Sie das Ziel des Servicelevels. Schränken Sie die Bereitstellung bestimmter Dienste und Dienstebenen (SKUs) ein, die Ihre Zielvorgaben für die Servicelevel nicht erfüllen. Verwenden Sie zum Beispiel die
Not allowed resource types
Richtliniendefinition in Azure Policy.
Automatisieren Sie die Data Governance
Automatisieren Sie die Data Governance. Automatisieren Sie Aufgaben der Data Governance, z. B. Katalogisierung, Zuordnung, sichere Freigabe und Anwendung von Richtlinien.
Automatisieren Sie die Datenlebenszyklusverwaltung. Implementieren Sie Speicherrichtlinien und Lebenszyklusverwaltung für die Speicherung, um sicherzustellen, dass Daten effizient und konform gespeichert werden.
Automatisieren Sie die Datensicherheit. Überprüfen Sie Datenschutzstrategien wie Datentrennung, Verschlüsselung und Redundanz und setzen Sie sie durch.
Automatisieren der Ressourcenverwaltungsgovernance
Erstellen Sie eine Hierarchie für die Ressourcenverwaltung. Verwenden Sie Verwaltungsgruppen, um Ihre Abonnements so zu organisieren, dass Sie Richtlinien, Zugriff und Ausgaben effizient steuern können. Befolgen Sie die bewährten Methoden der Azure-Zielzone für die Ressourcenorganisation.
Setzen Sie eine Taggingstrategie durch. Stellen Sie sicher, dass alle Azure-Ressourcen einheitlich gekennzeichnet sind, um die Verwaltbarkeit, Kostennachverfolgung und Compliance zu verbessern. Definieren Sie Ihre Taggingstrategie, und verwalten Sie die Tag-Governance.
Beschränken Sie die Ressourcen, die Sie bereitstellen können. Sperren Sie Ressourcentypen, um die Bereitstellung von Diensten einzuschränken, die ein unnötiges Risiko darstellen.
Beschränken Sie die Bereitstellung auf bestimmte Regionen. Kontrollieren Sie, wo die Ressourcen eingesetzt werden, um die gesetzlichen Anforderungen zu erfüllen, die Kosten zu verwalten und die Latenzzeit zu reduzieren. Verwenden Sie zum Beispiel die
Allowed locations
Richtliniendefinition in Azure Policy. Setzen Sie außerdem regionale Einschränkungen in Ihrer Bereitstellungspipeline durch.Verwenden von Infrastruktur als Code (Infrastructure as Code, IaC). Automatisieren Sie die Infrastrukturbereitstellungen mithilfe von Bicep, Terraform oder Azure Resource Manager-Vorlagen (ARM-Vorlagen). Speichern Sie Ihre IaC-Konfigurationen in einem Quellcodeverwaltungssystem (GitHub oder Azure Repos), um Änderungen nachzuverfolgen und die Zusammenarbeit zu erleichtern. Verwenden Sie Azure-Zielzonen Schnellinfo, um die Bereitstellung Ihrer Plattform- und Anwendungsressourcen zu steuern und Konfigurationsabweichungen im Laufe der Zeit zu vermeiden.
Steuern Sie Hybrid- und Multicloudumgebungen Steuern Sie Hybrid- und Multicloudressourcen. Sorgen Sie für Konsistenz bei der Verwaltung und Richtliniendurchsetzung.
Automatisieren der KI-Governance
Verwenden Sie das Retrieval Augmented Generation (RAG)-Muster. RAG fügt ein Informationsabrufsystem hinzu, um die Grunddaten zu kontrollieren, die ein Sprachmodell verwendet, um eine Antwort zu generieren. Sie können zum Beispiel das Feature Azure OpenAI Service on Your Own Data nutzen oder RAG mit Azure AI Search einrichten, um generative KI auf Ihre eigenen Inhalte zu beschränken.
Verwenden Sie KI-Entwicklungstools. Verwenden Sie KI-Tools wie Semantischer Kernel, die die KI-Orchestrierung bei der Entwicklung von KI-Anwendungen erleichtern und standardisieren.
Steuern Sie die Ausgabegenerierung. Verhindern Sie Missbrauch und die Erzeugung schädlicher Inhalte. Verwenden Sie die KI-Inhaltsfilterung und KI-Missbrauchsüberwachung.
Konfigurieren Sie die Verhinderung von Datenverlust. Konfigurieren Sie die Verhinderung von Datenverlust für Azure KI Services. Konfigurieren Sie die Liste der ausgehenden URLs, auf die die Ressourcen der KI-Dienste zugreifen dürfen.
Verwenden Sie Systemmeldungen. Verwenden Sie Systemmeldungen, um das Verhalten eines KI-Systems zu steuern und die Ausgaben anzupassen.
Wenden Sie die KI-Sicherheitsbaseline an. Verwenden Sie die Sicherheitsbaseline von Azure AI, um die Sicherheit von KI-Systemen zu regeln.
Manuelles Durchsetzen von Cloudgovernance-Richtlinien
Manchmal ist eine automatisierte Durchsetzung aufgrund von Tool-Beschränkungen oder Kosten nicht praktikabel. In Fällen, in denen Sie die Durchsetzung nicht automatisieren können, setzen Sie Cloudgovernance-Richtlinien manuell durch. Befolgen Sie die nachstehenden Empfehlungen, um die Cloudgovernance manuell durchzusetzen:
Verwenden Sie Prüflisten. Verwenden Sie Governanceprüflisten, um es Ihren Teams zu erleichtern, die Cloudgovernance-Richtlinien zu befolgen. Weitere Informationen finden Sie in den Beispiel-Complianceprüflisten.
Bieten Sie regelmäßige Schulungen an. Führen Sie häufige Schulungssitzungen für alle relevanten Teammitglieder durch, um sicherzustellen, dass sie die Governancerichtlinien kennen.
Planen Sie regelmäßige Überprüfungen. Implementieren Sie einen Zeitplan für regelmäßige Überprüfungen und Audits von Cloudressourcen und -prozessen, um die Einhaltung der Governancerichtlinien sicherzustellen. Diese Überprüfungen sind wichtig, um Abweichungen von den festgelegten Richtlinien festzustellen und Korrekturmaßnahmen zu ergreifen.
Überwachen Sie manuell. Setzen Sie dediziertes Personal ein, um die Cloudumgebung auf die Einhaltung der Governancerichtlinien zu überwachen. Erwägen Sie die Verfolgung der Ressourcennutzung, die Verwaltung von Zugriffskontrollen und die Sicherstellung von Datenschutzmaßnahmen, die mit den Richtlinien übereinstimmen. Definieren Sie beispielsweise einen umfassenden Kostenmanagementansatz, um die Cloudkosten zu steuern.
Überprüfen der Richtliniendurchsetzung
Überprüfen und aktualisieren Sie regelmäßig Compliance-Durchsetzungsmechanismen. Ziel ist es, die Durchsetzung der Cloudgovernance-Richtlinien an den aktuellen Bedürfnissen auszurichten, einschließlich der Anforderungen von Entwickler*innen, Architekt*innen, Arbeitslasten, Plattformen und Unternehmen. Befolgen Sie die folgenden Empfehlungen, um die Richtliniendurchsetzung zu überprüfen:
Einbinden von Stakeholder*innen. Diskutieren Sie die Wirksamkeit der Durchsetzungsmechanismen mit den Stakeholder*innen. Stellen Sie sicher, dass die Durchsetzung der Cloudgovernance mit den Geschäftszielen und Complianceanforderungen übereinstimmt.
Monitor-Anforderungen. Aktualisieren oder entfernen Sie Durchsetzungsmechanismen, um neue oder aktualisierte Anforderungen anzupassen. Verfolgen Sie Änderungen an Vorschriften und Standards, die Aktualisierungen Ihrer Durchsetzungsmechanismen erfordern. Die empfohlenen Richtlinien für die Azure-Zielzone können sich z. B. im Laufe der Zeit ändern. Sie sollten diese Richtlinienänderungen erkennen , auf die neuesten benutzerdefinierten Azure-Zielzonenrichtlinien aktualisieren oder nach Bedarf zu integrierten Richtlinien migrieren.
Beispielhafte Complianceprüflisten für Cloudgovernance
Complianceprüflisten helfen Teams dabei, die für sie geltenden Governancerichtlinien zu verstehen. Die beispielhaften Complianceprüflisten verwenden die Richtlinienanweisung aus den Beispielen für Cloudgovernance-Richtlinien und enthalten die Cloudgovernance-Richtlinien-ID als Querverweis.
Kategorie | Complianceanforderung |
---|---|
Compliance | ☐ Microsoft Purview muss zur Überwachung vertraulicher Daten verwendet werden (RC01). ☐ Tägliche Complianceberichte für vertrauliche Daten müssen aus Microsoft Purview generiert werden (RC02). |
Sicherheit | ☐ MFA muss für alle Benutzer*innen aktiviert sein (SC01). ☐ Zugriffsüberprüfungen müssen monatlich in ID Governance durchgeführt werden (SC02). ☐ Verwenden Sie die angegebene GitHub-Organisation zum Hosten des gesamten Anwendungs- und Infrastrukturcodes (SC03). ☐ Teams, die Bibliotheken aus öffentlichen Quellen verwenden, müssen das Quarantänemuster anwenden (SC04). |
Vorgänge | ☐ Produktionsworkloads sollten eine aktiv-passive Architektur über verschiedene Regionen hinweg haben (OP01). ☐ Alle unternehmenskritischen Workloads müssen eine regionsübergreifende aktive Architektur implementieren (OP02). |
Kosten | ☐ Workloadteams müssen Budgetwarnungen auf Ressourcengruppenebene festlegen (CM01). ☐ Azure Advisor-Kostenempfehlungen müssen überprüft werden (CM02). |
Daten | ☐ Alle vertraulichen Daten müssen bei sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt werden. (DG01) ☐ Datenlebenszyklusrichtlinien müssen für alle vertraulichen Daten aktiviert sein (DG02). |
Ressourcenverwaltung | ☐ Für die Bereitstellung von Ressourcen muss Bicep verwendet werden (RM01). ☐ Tags müssen für alle Cloudcessourcen mithilfe von Azure Policy durchgesetzt werden (RM02). |
KI | ☐ Die Konfiguration der KI-Inhaltsfilterung muss auf mittel oder höher eingestellt sein (AI01). ☐ Kundenseitige KI-Systeme müssen monatlich red-teamed werden (AI02). |